Let's Encrypt를 사용하여 Ubuntu 20.04에서 Nginx 보호

Let's Encrypt를 사용하여 Ubuntu 20.04에서 Nginx 보호

2022-05-17 last update

16 minutes reading nginx let's encrypt ubuntu ssl certbot
Let's Encrypt는 인터넷 보안 연구팀(ISRG)이 개발한 무료, 자동화, 개방된 인증서 발급 기구로 무료 SSL 인증서를 제공한다.Let's Encrypt에서 발급한 인증서는 모든 주요 브라우저의 신뢰를 받아 발급일로부터 90일 이내에 유효합니다.이 자습서는 Ubuntu 20.04에 무료 Let's Encrypt SSL 인증서를 설치하고 Nginx를 웹 서버로 실행하는 방법에 대해 설명합니다.SSL 인증서를 사용하고 HTTP/2를 활성화하도록 Nginx를 구성하는 방법도 보여 줍니다.

선결 조건

계속하기 전에 다음과 같은 선결 조건을 충족시켜야 합니다.
  • 공공 IP를 가리키는 도메인 이름이 있습니다.우리는 사용할 것이다example.com.있다
    CentOS 서버에서
  • 너의 Nginx installed
    포트 80과 443의 연결을 수락하도록 설정합니다.인증서를 가져오고 업데이트하려면certbot을 사용하십시오.Certbot은 기능이 완비되고 사용하기 쉬운 도구로 SSL 인증서를 가져오고 업데이트하는 작업을 자동화합니다. SSL 인증서를 암호화하고 웹 서버를 설정해서 인증서를 사용합니다.certbot 패키지는 기본 Ubuntu 저장소에 포함되어 있습니다.설치하려면 다음 명령을 실행하십시오.
    sudo apt updatesudo apt install certbot

    Certbot 설치

    Diffie-Hellman 키 교환(DH)은 안전하지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.다음 명령을 입력하여 새 2048비트 DH 매개변수 세트를 생성합니다.
    sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
    시스템 엔트로피에 따라 최대 4096비트의 키 길이를 사용할 수도 있습니다.

    강력한 Dh(Diffie Hellman) 그룹 생성

    도메인의 SSL 인증서를 얻기 위해 Webroot 플러그인을 사용합니다. 이 플러그인은 ${webroot-path}/.well-known/acme-challenge 디렉터리에 임시 파일을 만들어서 요청한 도메인을 검증합니다.Let's Encrypt 서버는 요청한 도메인이certbot에서 실행되는 서버로 해석되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.보다 간단하게 .well-known/acme-challenge 의 모든 HTTP 요청을 디렉터리 /var/lib/letsencrypt 에 비추겠습니다.다음 명령은 디렉토리를 생성하여 Nginx 서버에서 쓸 수 있도록 합니다.
    sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
    코드가 중복되지 않도록 두 개의 코드 세그먼트를 생성하여 모든 Nginx 서버 블록 파일에 포함합니다.너의 것을 열어라firewall
    첫 번째 코드 세그먼트 letsencrypt.conf:
    sudo nano /etc/nginx/snippets/letsencrypt.conf
    /etc/nginx/snippets/letsencrypt.conf
    location ^~ /.well-known/acme-challenge/ {
      allow all;
      root /var/lib/letsencrypt/;
      default_type "text/plain";
      try_files $uri =404;
    }
    
    다음에 두 번째 세션ssl.conf을 만듭니다. 추천하는 스크레이퍼를 포함합니다.
    , OCSP 바인딩을 활성화하고 HTTP는 보안(HSTS)을 엄격히 전송하며 보안 중심의 HTTP 헤더를 거의 실행하지 않습니다.
    sudo nano /etc/nginx/snippets/ssl.conf
    /etc/nginx/snippets/ssl.conf
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers on;
    
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 30s;
    
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    
    가 코드 세그먼트를 만든 후 역 서버 블록 파일을 열고 letsencrypt.conf 코드 세그먼트를 포함합니다.
    sudo nano /etc/nginx/sites-available/example.com.conf
    /etc/nginx/sites available/example.일반 도메인 이름 형식.conf
    server {
      listen 80;
      server_name example.com www.example.com;
    
      include snippets/letsencrypt.conf;
    }
    새 서버 블록을 사용하려면 파일에서 sites-enabled 디렉터리로 기호 링크를 만듭니다.
    sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
    text editor
    변경 사항을 적용하려면: (adsbyGoogle=window.adsbyGoogle |||[]).추진({});
    sudo systemctl restart nginx
    웹 루트 플러그인으로 Certbot을 실행하고 다음과 같은 방식으로 SSL 인증서 파일을 얻을 수 있습니다.
    sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
    SSL 인증서를 성공적으로 얻으면 다음과 같은 메시지를 출력합니다.
    IMPORTANT NOTES:
     - Congratulations! Your certificate and chain have been saved at:
       /etc/letsencrypt/live/example.com/fullchain.pem
       Your key file has been saved at:
       /etc/letsencrypt/live/example.com/privkey.pem
       Your cert will expire on 2020-10-18. To obtain a new or tweaked
       version of this certificate in the future, simply run certbot
       again. To non-interactively renew *all* of your certificates, run
       "certbot renew"
     - Your account credentials have been saved in your Certbot
       configuration directory at /etc/letsencrypt. You should make a
       secure backup of this folder now. This configuration directory will
       also contain certificates and private keys obtained by Certbot so
       making regular backups of this folder is ideal.
     - If you like Certbot, please consider supporting our work by:
    
       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
       Donating to EFF:                    https://eff.org/donate-le
    
    현재 인증서 파일이 있습니다. Mozilla
    아래:
    sudo nano /etc/nginx/sites-available/example.com.conf
    /etc/nginx/sites available/example.일반 도메인 이름 형식.구성
    server {
        listen 80;
        server_name www.example.com example.com;
    
        include snippets/letsencrypt.conf;
        return 301 https://$host$request_uri;
    }
    
    server {
        listen 443 ssl http2;
        server_name www.example.com;
    
        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
        include snippets/ssl.conf;
        include snippets/letsencrypt.conf;
    
        return 301 https://example.com$request_uri;
    }
    
    server {
        listen 443 ssl http2;
        server_name example.com;
    
        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
        include snippets/ssl.conf;
        include snippets/letsencrypt.conf;
    
        # . . . other code
    }
    
    및 위 구성Restart the Nginx service
    그리고 www에서 비ww버전으로 리디렉션합니다.변경 사항을 적용하기 위해 Nginx 서비스를 다시 불러옵니다.
    sudo systemctl reload nginx
    SSL 인증서가 성공적으로 설치되었는지 확인하려면 https:// 사이트를 열고 녹색 자물쇠 아이콘을 보십시오.edit your domain server block를 사용하여 도메인을 테스트하는 경우
    다음 그림과 같이

    Let's Encrypt SSL 인증서 가져오기

    암호화된 인증서의 유효기간은 90일입니다.인증서가 만료되기 전에 인증서를 자동으로 갱신하기 위해certbot 패키지는cronjob과 시스템d 타이머를 만듭니다.타이머는 인증서가 만료되기 30일 전에 자동으로 인증서를 갱신합니다.인증서를 갱신할 때nginx 서비스를 다시 불러와야 합니다.A+를 열고 다음 줄을 추가합니다.
    sudo nano /etc/letsencrypt/cli.ini
    /etc/cron.d/certbot
    deploy-hook = systemctl reload nginx
    
    에서 갱신 과정을 테스트하려면certbot/etc/letsencrypt/cli.ini 명령을 실행하십시오.
    sudo certbot renew --dry-run
    오류가 없으면 갱신 과정이 성공했습니다.

    SSL 인증서 암호화를 위한 자동 갱신

    certbot을 사용하여 도메인 암호화 SSL 인증서를 다운로드하는 방법을 보여 드렸습니다.또한 코드가 중복되지 않도록 Nginx 코드 세그먼트를 만들고 인증서를 사용하도록 구성했습니다.Certbot 사용 방법에 대한 자세한 내용은 해당 사용자forcing HTTPS를 참조하십시오.
    . 질문이나 피드백이 있으면 언제든지 의견을 달아 주십시오.